Titkosítás, biztonság, privát szféra

Didier Stevens egy blogbejegyzésben számol be arról, hogy előállított egy olyan proof-of-concept PDF fájlt, amelyből sikerült végrehajtható állományt futtatnia anélkül, hogy bármilyen sebezhetőséget is ki kellett volna használnia. Az Adobe Reader-t futtató felhasználók ugyan kapnak egy figyelmeztető ablakot azelőtt, mielőtt a futtatásra sor kerülne, de a párbeszédablakban megjelenő üzentet a hacker részben tudja befolyásolni. Egy kis social engineering-gel kombinálva felhasználható lehet parancsok, script-ek futtatására az áldozat gépén.

A Microsoft egy videót tett közzé, amelyben azt kívánja demonstrálni, hogy a Google Chrome szinte minden egyes billentyűleütést, amelyet a felhasználó az "address bar"-on ejt, elküld a Google-nek. A Microsoft azt kritizálja, hogy a Google Chrome az address bar-t és a keresődobozt egy beviteli mezőben egyesíti. Ezzel szemben az IE8 ezt külön oldja meg és ezáltal jobban védi a felhasználó személyes adatait. Nem beszélve az In-private funkcióról...

A javában folyó kanadai CanSecWest konferencia adott otthont az idei Pwn2Own biztonsági versenynek. A nevezettek megmutatták, hogy hogyan tudnak feltörni egy nem jailbreak-elt iPhone-t, egy OS X-en futó Safari-t, egy Windows 7-en futó IE8-at és Firefox-ot.

Idén is lesz Pwn2Own verseny. A helyszíne a március 24-én kezdődő kanadai CanSecWest konferencia. A Pwn2Own 2010-re regisztrálás útján lehetett jelentkezni, a jelentkezők közt fél órás időszakokat (time slot) soroltak ki. A sorsolás eredménye határozza meg a versenyzők sorrendjét. A sorsolásból kiderül, hogy kik jelentkeztek a megmérettetésre és mi ellen nyomulnak.

A H Security egyik cikkében arról számol be, hogy a "JDuck" névre hallgató hacker nemrég felfedezett egy olyan speciálisan, rosszindulatúan összeállított PDF fájlt, amely a relatíve újnak számító Return Oriented Programming (ROP) technikát használja fel arra, hogy a kicselezze a Data Execution Prevention (DEP) névre hallgató biztonsági mechanizmust. A cikk szerint ez azt vetíti előre, hogy a DEP-pel biztosítani kívánt megbízható védelem napjai meg vannak számlálva.

A SecurityFocus weboldal elindulásától, 1999-től szolgálta a biztonsággal foglalkozó közösséget. Saját híranyagokat, részletes dokumentumokat készített, vendégszerkesztők írásait publikálta stb. A SecurtiyFocus azon elgondolás mentén jött létre, hogy a közösségnek szüksége van egy olyan helyre, ahol összejöhet és megoszthatja tudását. Akkoriban a biztonsággal foglalkozó közösség fragmentált volt, nem volt egyetlen olyan hely sem, amely ezt biztosította volna, így a SecurityFocus hiánypótló volt.

Az eltelt több mint 10 év során jelentősen megváltozott a helyzet. Egyre több helyről érhetők el információk. Blogbejegyzések, fenyegetettségi elemzések, technikai dokumentációk látnak napvilágot és a gyártók is egyre inkább nyitottak arra, hogy a közösséggel együttműködve oldják meg napjaik biztonsági problémáit.

A Panda Security blogjában lehet arról olvasni, hogy egy újabb vállalatot kaptak azon, hogy (feltehetően nem akarattal) malware-t terjesztett termékével az ügyfeleihez. A blog szerint az egyik kollégájuk egy Android-os Vodafone HTC Magic-et kapott. Amint a készüléket a számítógépéhez csatlakoztatta, a Panda antivírus azonnal jelzett: autorun.inf, autorun.exe. A közelebbi vizsgálat után kiderült, hogy a malware valójában a Mariposa botnet kliense. A részletek itt. A Mariposa botnet-tel kapcsolatban nemrégiben letartóztatásokat eszközölt a spanyol rendőrség.

Idén is megrendezésre kerül a CansecWest konferencia keretében a Pwn2Own verseny. Minden évben nagy értékű díjakkal jutalmazzák azokat a biztonsági szakértőket, akik kihasználható sebezhetőségeket találnak népszerű operációs rendszerekben, böngészőkben és mobil platformokban.

A oneitsecurity.it weboldal interjút készített az elmúlt két évben sikerrel szereplő Charlie Millerrel, aki korábban elsőként törte fel az iPhone és Android mobil platformokat is. Részlet az interjúból:

Aaron Portnoy, a Tippingpoint Technologies biztonsági kutatócsapatának vezetője bejelentette, hogy idén is lesz Pwn2Own verseny. A verseny helyszíne a március végén (24-26) megrendezésre kerülő CanSecWest 2010 konferencia lesz. Idén immár negyedik alkalommal jönnek össze a biztonsággal foglalkozó kutatók, hogy sebezhetőségeket keressenek operációs rendszer + böngésző párosokon, illetve mobiltelefon operációs rendszereken. A verseny összdíjazására szánt összeget felemelték 100 ezer dollárra.

Az IETF Transport Layer Security Working Group 2009. november elején egy súlyos, az SSL/TLS protokollban levő sebezhetőségről értesült: a "Renego" sebezhetőségről.

A TLS klienseknek és a szervereknek is megvan az a képessége, hogy a titkosítási paraméterek frissítését vagy teljes újraegyeztetését kezdeményezze. Ezzel a kulcsok kevésbé kiszámíthatóbbá tehetők, így a lehetséges támadó(k)nak kevesebb információ áll rendelkezésre, vagy ahogy gyakran használják, egy már biztonságos kapcsolaton keresztül egy kliens-tanúsítvánnyal való azonosítást kérnek a felhasználótól. ...